Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
20分でわかる
イマドキのサイバー攻撃
2015/05/13 MWS 2015 意見交換会
JPCERT/CC 分析センター
中津留 勇
Copyright©2015JPCERT/CC All rights reserved.
1
今回の内容
目的
• 研究動向に左右されない、サイバー攻撃の動向紹介 • 動向調査時間の削減 • 研究の幅の拡大、方向性チェック
前提
• 紹介するのは、以下のマルウェア関連情報の「一部」 • JPCERT/CC に報告のあったインシデント • 日本国内で話題になったインシデント
Copyright©2015JPCERT/CC All rights reserved.
DRIVE-BY-DOWNLOAD 攻撃
2
Copyright©2015JPCERT/CC All rights reserved.
Web ブラウザやアドオンを狙った攻撃
3
Drive-by-Download 攻撃
Copyright©2015JPCERT/CC All rights reserved.
改ざん内容の変化
4
Copyright©2015JPCERT/CC All rights reserved.
Exploit Kit の現在
5
脆弱性情報
分析の難しさ
インシデント対応において見るもの
• Angler Exploit Kit
• Nuclear Exploit Kit
• RIG Exploit Kit
• Fiesta Exploit Kit
• 製品の移り変わり、リーク版の減少 • 難読化の強化
Copyright©2015JPCERT/CC All rights reserved.
ランサムウェア
6
Copyright©2015JPCERT/CC All rights reserved.
ランサムウェアの日本語対応
代表的なランサムウェアが日本語対応
7
http://blog.trendmicro.co.jp/archives/8801
http://blog.trendmicro.co.jp/archives/11378
Copyright©2015JPCERT/CC All rights reserved.
ファイルの暗号化による脅迫
8
Copyright©2015JPCERT/CC All rights reserved.
Drive-by-Download との関係
Angler Exploit Kit -> TeslaCrypt/AlphaCrypt
9
https://isc.sans.edu/forums/diary/Angler+exploit+kit+pushes+new+variant+of+ransomware/19681
Copyright©2015JPCERT/CC All rights reserved.
不正送金に関連するマルウェア
10
Copyright©2015JPCERT/CC All rights reserved.
バンキングトロイ
Web/HTTP Injects と呼ばれる機能が代表的
11
Copyright©2015JPCERT/CC All rights reserved.
現在日本で見かけるバンキングトロイ
ZeuS, Citadel, Gameover の時代は終焉
12
Vawtrak Dyre Tsukuba
Tinba Dridex Chthonic
Copyright©2015JPCERT/CC All rights reserved.
proxy.pac を用いる手法
受信データの書き換えを中間者攻撃で行う
—Internet Explorer、Chrome、Firefox など
13
Copyright©2015JPCERT/CC All rights reserved.
proxy.pac とオレオレ証明書
14
Copyright©2015JPCERT/CC All rights reserved.
マクロを用いるダウンローダの感染経路
15
Copyright©2015JPCERT/CC All rights reserved.
UAC 回避
Dridex, Vawtrak のダウンローダなどが使用
— http://www.jpcert.or.jp/magazine/acreport-uac-bypass.html
16
Copyright©2015JPCERT/CC All rights reserved.
標的型攻撃
17
Copyright©2015JPCERT/CC All rights reserved.
2014年度の傾向: ファイルタイプと脆弱性
実行ファイルと、2014年に発見された脆弱性を悪用する文書
18
一太郎・MS Office
Copyright©2015JPCERT/CC All rights reserved.
傾向分析: アイコン偽装
拡張子偽装と組み合わせて使用
—正規アイコンからフリー素材まで様々
19
Word 文書 Excel 文書 PDF 文書
JPEG 画像 システムアイコン その他
Copyright©2015JPCERT/CC All rights reserved.
より高度な標的型攻撃
20
http://www.lac.co.jp/security/alert/2013/10/09_alert_01.html
http://www.gomplayer.jp/player/notice/view.html?intSeq=300&page=1
Copyright©2015JPCERT/CC All rights reserved.
事例: Drive-by-Download 型
21
Copyright©2015JPCERT/CC All rights reserved.
事例: 自動アップデート機能の悪用
22
Copyright©2015JPCERT/CC All rights reserved.
事例: ドメイン名ハイジャック
23
Copyright©2015JPCERT/CC All rights reserved.
攻撃の全容
24
Copyright©2015JPCERT/CC All rights reserved.
標的型攻撃で使用されるマルウェア/ツール
25
マルウェア
• EMDIVI/Xabil、PlugX などのボット
• UDP リモートシェル
•プロキシ
ツール系
• SQLサーバスキャンツール
• パスワードハッシュ取得ツール
• Active Directory 情報取得ツール
• アーカイバ(RAR)
Copyright©2015JPCERT/CC All rights reserved.
おまけ
26
Copyright©2015JPCERT/CC All rights reserved.
パスワードリスト攻撃ツール
辞書攻撃専用ツール
27
Copyright©2015JPCERT/CC All rights reserved.
アドウェア
28
Copyright©2015JPCERT/CC All rights reserved.
お問合せ、インシデント対応のご依頼は
30
JPCERTコーディネーションセンター
—Email:[email protected]
—Tel:03-3518-4600
—https://www.jpcert.or.jp/
インシデント報告
—Email:[email protected]
—https://www.jpcert.or.jp/form/
制御システムインシデントの報告
—Email:[email protected]
—https://www.jpcert.or.jp/ics/ics-form